Persónuverndaryfirlýsing Vegagerðarinnar
1.
Almennt
Vegagerðin, kt. 680269-2899, Borgartúni 5-7,
105 Reykjavík, er annt um friðhelgi einstaklinga og tekur persónuvernd mjög
alvarlega. Vegagerðin leggur mikla áherslu á að meðferð persónuupplýsinga sé
ávallt í samræmi við gildandi persónuverndarlöggjöf.
Vegagerðin starfar samkvæmt lögum nr. 120/2012 um Vegagerðina, framkvæmdastofnun samgöngumála og sinnir fjölbreyttum verkefnum á sviði samgöngumála. Vegagerðin er veghaldari þjóðvega samkvæmt lögum nr. 80/2007 sem merkir að Vegagerðin hefur forræði yfir vegi og vegsvæði, þar með talið vegagerð, þjónustu og viðhaldi á vegum.
Í þessari persónuverndaryfirlýsingu má sjá hvaða persónuupplýsingum Vegagerðin safnar um einstaklinga og í hvaða tilgangi. Þá má hér finna upplýsingar um aðra viðtakendur upplýsinganna og hvað þær eru geymdar lengi. Auk þess má hér finna upplýsingar um á hvaða grundvelli Vegagerðin safnar persónuupplýsingum, hvaða réttinda einstaklingar njóta og fleiri mikilvægar upplýsingar sem tengjast lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 (hér eftir persónuverndarlög).
2.
Hvað eru
persónuupplýsingar og vinnsla persónuupplýsinga?
Með persónuupplýsingum er átt við allar upplýsingar sem hægt er að rekja
til tiltekins einstaklings, svo sem upplýsingar um nafn, kennitölu,
heimilisfang, netfang, símanúmer, fjárhag, heilsufar, IP tölu og fleira. Í 2.
og 3. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á
persónuupplýsingum.
Með vinnslu persónuupplýsinga er átt við alla meðferð og notkun persónuupplýsinga svo sem söfnun, skráningu, varðveislu, breytingu eða eyðingu. Í 4. tl. 1. mgr. 3. gr. persónuverndarlaga er að finna nánari skilgreiningu á vinnslu persónuupplýsinga.
3.
Hvernig vinnur Vegagerðin
persónuupplýsingar?
Hjá Vegagerðinni fer vinnsla persónuupplýsinga fram á
lögmætum grundvelli og í samræmi við persónuverndarlög. Vegagerðin gætir
jafnframt að því að persónuupplýsingar séu ekki unnar frekar á þann hátt að
vinnslan sé ósamrýmanleg upprunalegum tilgangi vinnslunnar. Vegagerðin gætir að því að farið sé að
eftirfarandi meginreglum:
- Að persónuupplýsingar séu unnar með sanngjörnum hætti.
- Að persónuupplýsingum sé einungis safnað í skýrum tilgangi.
- Að ekki sé safnað meiri persónuupplýsingum en nauðsynlegt er.
- Að persónuupplýsingar séu nákvæmar og uppfærðar þegar þörf krefur.
- Að persónuupplýsingar séu ekki geymdar lengur en þörf er á.
- Að gætt sé að öryggi persónuupplýsinga með viðeigandi varúðarráðstöfunum.
4.
Um
hverja safnar Vegagerðin persónuupplýsingum?
Í starfsemi Vegagerðarinnar er nauðsynlegt að safna og
vinna með persónuupplýsingar um mismunandi hópa einstaklinga. Þær
persónuupplýsingar sem stofnunin hefur undir höndum geta verið um:
- starfsmenn þess,
- eignarhald á fasteignum
- setu einstaklinga í stjórnum félaga,
- og aðra þriðju aðila sem nauðsynlegt er að eiga samskipti við.
5.
Hvaða
persónuupplýsingum safnar Vegagerðin?
Vegagerðin safnar ólíkum persónuupplýsingum um
mismunandi hópa einstaklinga eftir því um hvaða starfsemi er að ræða. Undir
öllum kringumstæðum leitast Vegagerðin við að safna einungis þeim
persónuupplýsingum sem nauðsynlegar eru með hliðsjón af tilgangi vinnslunnar.
Vegagerðin safnar nauðsynlegum upplýsingum um starfsfólk, til dæmis upplýsingum um nafn, kennitölu, heimilisfang, símanúmer, viðveru, laun og fleira.
6.
Tilgangurinn
með söfnun persónuupplýsinga
Tilgangurinn með söfnun upplýsinganna er að:
- Geta efnt samningsskyldu, til dæmis við starfsmenn.
- Geta veitt ákveðna þjónustu, til dæmis við vegfarendur.
- Gæta að lögmætum hagsmunum stofnunarinnar.
- Gæta að lögmætum hagsmunum annarra.
- Uppfylla lagaskyldur.
7.
Lagagrundvöllur
fyrir vinnslu persónuupplýsinga
Vegagerðin safnar og vinnur persónuupplýsingar á eftirfarandi
lagagrundvelli:
- Til að uppfylla lagaskyldu.
- Til að uppfylla samningsskyldu.
- Á grundvelli samþykkis einstaklinga.
- Við verkefni í þágu almannahagsmuna eða beitingu opinbers valds.
- Til að unnt sé að stofna, hafa uppi eða verja réttarkröfu.
8.
Hve
lengi geymir Vegagerðin persónuupplýsingar?
Vegagerðin er afhendingarskyldur aðili
samkvæmt lögum um opinber skjalasöfn nr. 77/2014. Vegna þess er stofnuninni
óheimilt að ónýta eða farga nokkru skjali sem fellur undir gildissvið þeirra
laga nema með heimild þjóðskjalavarðar. Almennt eru þær persónuupplýsingar sem
stofnunin vinnur afhentar Þjóðskjalasafni að þrjátíu árum liðnum. Efni sem
verður til við rafræna vöktun er geymt í samræmi við reglur um rafræna vöktun
nr. 837/2006. Að öðru leyti eru persónuupplýsingar hjá Vegagerðinni geymdar í
þann tíma sem nauðsynlegt er fyrir stofnunina að hafa þær undir höndum.
9.
Frá
hverjum safnar Vegagerðin persónuupplýsingum?
Þá safnar Vegagerðin að meginstefnu til persónuupplýsingum beint frá þeim
einstaklingum sem um ræðir en styðst einnig við opinberar skrár og upplýsingar
frá öðrum stjórnvöldum í vinnslu sinni. Þegar og ef upplýsingum er safnað frá
öðrum þriðju aðilum reynir stofnunin eftir fremsta megni að upplýsa viðkomandi
um það.
10. Hvenær miðlar Vegagerðin
persónuupplýsingum til þriðju aðila og af hverju?
Vegagerðin miðlar persónuupplýsingum til þriðju aðila sem eru ráðnir af stofnuninni
til að vinna fyrir fram ákveðna vinnu, svo sem þjónustuveitendur, sem sjá um að
geyma gögn meðal annars og verktakar. Í þeim tilfellum gerir stofnunin
vinnslusamning við viðkomandi aðila. Slíkur samningur kveður meðal annars á um
skyldu hans til að fylgja fyrirmælum stofnunarinnar um meðferð
persónuupplýsinga og er honum óheimilt að nota þær í öðrum tilgangi. Jafnframt
ber honum skylda til að tryggja öryggi upplýsinganna með viðeigandi hætti.
Í öðrum tilvikum getur einnig verið nauðsynlegt fyrir stofnunina að miðla persónuupplýsingum til þriðju aðila, til dæmis þegar skylda stendur til þess samkvæmt lögum, til dæmis skjalasafns í samræmi við lög um opinber skjalasöfn nr. 77/2014, almennings í samræmi við upplýsingalög nr. 140/2012 og aðila stjórnsýslumáls í samræmi við stjórnsýslulög nr. 37/1993. Að auki er stofnuninni heimilt að miðla upplýsingum til lögreglu og rannsóknarnefndar samgönguslysa þegar rannsakað er sakamál, mannshvarf eða samgönguslys, sbr. lög um Vegagerðina, og framkvæmdastofnun samgöngumála, nr. 120/2012.
11. Flutningur
persónuupplýsinga út fyrir Evrópska efnahagssvæðið
Vegagerðinni er kunnugt um að ströng skilyrði gilda um flutning
persónuupplýsinga til ríkja sem staðsett eru utan Evrópska efnahagssvæðisins. Vegagerðin
gerir það ekki undir neinum kringumstæðum nema fullnægjandi heimild standi til
þess samkvæmt lögum um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018.
12. Öryggi
upplýsinganna
Vegagerðin leitast við að grípa til viðeigandi
tæknilegra og skipulegra öryggisráðstafana til að tryggja öryggi
persónuupplýsinga í samræmi við lög um persónuvernd og vinnslu
persónuupplýsinga nr. 90/2018. Felur það meðal annars í sér að aðeins þeir
starfsmenn hafa aðgang að persónuupplýsingum sem þess þurfa starfs síns vegna.
Auk þess stuðlar stofnunin að aukinni vitundarvakningu hjá starfsmönnum með reglulegri þjálfun og fræðslu um hvernig gæta skal að öryggi persónuupplýsinga.
13. Rafræn vöktun
Til að fylgjast
með færð, veðri, umferð og ástandi á vegakerfinu og stuðla þannig að auknu
samgönguöryggi viðhefur Vegagerðin rafræna vöktun með samgöngumannvirkjum í
samræmi við heimild í 4. mgr. 4. gr. laga nr. 120/2012 um Vegagerðina,
framkvæmdastofnun samgöngumála. Hluta þeirra upplýsinga sem safnað er með
vöktuninni er miðlað áfram til vegfarenda með birtingu á heimasíðu
Vegagerðarinnar en leitast er við að tryggja að birt myndefni sé ekki
persónugreinanlegt.
14. Réttindi einstaklinga
Hafi einstaklingar veitt samþykki fyrir vinnslu
tiltekinna persónuupplýsinga eiga þeir rétt samkvæmt lögum um persónuvernd og
vinnslu persónuupplýsinga nr. 90/2018 að afturkalla samþykki sitt hvenær sem
er. Sá réttur hefur þó ekki áhrif á lögmæti þeirrar vinnslu sem fram fór áður
en samþykki var afturkallað. Þá njóta þeir einnig annarra réttinda, svo sem
réttar til að vera upplýstir um vinnslu, réttar til aðgangs að gögnum, réttar
til að fá rangar eða villandi upplýsingar leiðréttar, réttar til að
persónuupplýsingum verði eytt, réttar til að hindra að unnið verði með
persónuupplýsingar um þá og réttar til að flytja eigin upplýsingar. Hafa skal í
huga að réttindi einstaklinga eru ekki alltaf fortakslaus og kunna að vera háð
ýmsum skilyrðum.
15. Samskiptaupplýsingar
Vegagerðarinnar
Nafn: Vegagerðin
Heimilisfang: Borgartúni 5-7, 105 Reykjavík.
Netfang: vegagerdin@vegagerdin.is
Símanúmer: 522 1000.
16. Persónuverndarfulltrúi
Hafi einstaklingar frekari spurningar um persónuverndaryfirlýsingu
þessa geta þeir ávallt haft samband við persónuverndarfulltrúann okkar. Þetta
eru samskiptaupplýsingarnar hjá honum:
Nafn: Dattaca Labs Iceland ehf.
Heimilisfang: Grandagarður 16, 101 Reykjavík.
Netfang: dpo@dattacalabs.com.
Símanúmer: 517 3444.
17. Réttur
til að leggja fram kvörtun hjá Persónuvernd
Dragi einstaklingar í efa að Vegagerðin meðhöndli persónuupplýsingar þeirra
í samræmi við lög um persónuvernd og vinnslu persónuupplýsinga nr. 90/2018 hafa
þeir rétt til að senda erindi til Persónuverndar (www.personuvernd.is).
18.
Endurskoðun
á þessari persónuverndaryfirlýsingu
Persónuverndaryfirlýsing þessi getur frá einum tíma til annars tekið
breytingum í samræmi við breytingar á viðeigandi lögum og reglugerðum eða ef
breytingar verða gerðar á því hvernig Vegagerðin vinnur með persónuupplýsingar.
Verði breytingar gerðar á persónuverndaryfirlýsingu þessari verður tilkynnt um
slíkt á heimasíðu stofnunarinnar www.vegagerdin.is
Eftir að breytingar hafa verið gerðar á persónuverndaryfirlýsingu taka þær gildi þegar uppfærð útgáfa hefur verið birt.
Persónuverndaryfirlýsing þessi var samþykkt 21.09.2020.